Suojattu Wi – Fi-yhteys (WPA)
oppitunnin sisältö
mitä salaus-ja todennusprotokollia ja-algoritmeja sinun pitäisi valita, kun määrität uuden langattoman verkon? Pitäisikö sinun käyttää RC4: ää, TKIP: tä tai AES: ää? Jos haluat käyttää 802.1 X: ää, pitäisikö sinun käyttää PEAP-tai EAP-TLS: ää?
Wi-Fi Alliance on voittoa tavoittelematon järjestö, joka edistää langatonta verkottumista ja pyrkii auttamaan näissä kysymyksissä. Ne tarjoavat Wi-Fi Protected Access (WPA) alan sertifikaatit.
nykyään on olemassa kolme WPA-versiota:
- WPA (versio 1)
- WPA2
- WPA3
kun langaton myyjä haluaa WPA-sertifioinnin, sen langattoman laitteiston on käytävä läpi testausprosessi valtuutetuissa testauslaboratorioissa. Kun heidän laitteistonsa täyttää kriteerit, he saavat WPA-sertifioinnin.
WPA tukee kahta autentikointitilaa:
- henkilökohtainen
- yritys
henkilökohtaisessa tilassa käytetään valmiiksi jaettua avainta. Valmiiksi jaettua avainta ei käytetä suoraan ilmassa. Sen sijaan langattomat asiakkaat ja AP käyttävät nelisuuntaista kädenpuristusta, joka käyttää valmiiksi jaettua avainta syötteenä salausavainten luomiseen. Kun tämä prosessi on valmis, langaton asiakas ja AP voivat lähettää salattuja kehyksiä toisilleen.
Enterprise mode käyttää 802.1 X: ää ja autentikointipalvelinta, yleensä RADIUS-palvelinta. WPA ei määritä tiettyä EAP-menetelmää, joten voit käyttää sitä, mikä toimii parhaiten skenaariossasi. Kaikki tavalliset EAP-menetelmät, kuten PEAP ja EAP-TLS, ovat tuettuja.
WPA
ensimmäiset langattomat laitteet sertifioitiin WPA: lle (versio 1) vuonna 2003. WPA on Wi-Fi Alliancen vastaus wepin korvaamiseen kaikilla haavoittuvuuksillaan. WEP käyttää RC4: ää, joka on epävarma algoritmi.
on olemassa paljon turvallisempia salausalgoritmeja, kuten AES, mutta ongelmana on, että tarvitset laitteistotukea. Siihen aikaan useimmat langattomat asiakkaat ja APs tukivat vain RC4: ää laitteistossa. Tarvitsimme varmemman ohjelmistoalgoritmin ilman laitteiston vaihtoa.
WPA käyttää Temporal Key Integrity Protocol (TKIP) – protokollaa, joka kierrätti joitakin WEP: n kohteita; se käyttää edelleen RC4-algoritmia. Joitakin asioita parannetaan; esimerkiksi TKIP käyttää wepissä 256-bittisiä näppäimiä 64-ja 128-bittisten näppäimien sijaan.
valitettavasti WPA oli alusta asti tuhoon tuomittu. Se perustui osiin 802.11 i-standardia, joka oli edelleen luonnos. Se oli tarpeeksi hyvä korvaamaan WEP ja käyttämään olemassa olevaa laitteistoa, mutta pitkällä aikavälillä tarvittiin jotain muuta.
WPA2
WPA2 on WPA: n korvaaja ja perustuu IEEE 802.11 i (ratifioitu) – standardiin. Sertifiointi alkoi vuonna 2004, ja 13.maaliskuuta 2006 lähtien se oli pakollinen kaikille laitteille, jos haluat käyttää Wi-Fi-tavaramerkkiä. Merkittävin päivitys on se, että WPA2 käyttää WEP: n ja WPA: n käyttämän vanhan RC4-salauksen sijaan AES-CCMP-salausta.
taaksepäin yhteensopivuussyistä voit silti käyttää TKIP: tä varamekanismina WPA-asiakkaille.
WPA2 otti käyttöön myös Wi-Fi-suojatun asennuksen (WPS). Jos haluat muodostaa yhteyden verkkoon, joka käyttää valmiiksi jaettua avainta, sinun on tiedettävä SSID ja valmiiksi jaettu avain.
WPS: ssä sinun tarvitsee vain painaa nappia tai syöttää PIN-koodi, ja langaton asiakas määrittää SSID: n ja valmiiksi jaetun avaimen automaattisesti. WPS helpottaa Ei-tech taju käyttäjille määrittää langattoman verkon, varsinkin kun käytät pitkiä, monimutkaisia valmiiksi jaettuja avaimia. Tutkijat kuitenkin löysivät haavoittuvuuden WPS: lle vuonna 2011. Hyökkäys WPS: ää vastaan voi raa ‘ asti pakottaa WPS: n PIN-koodin muutamassa tunnissa, mikä johtaa ennalta jaettuun avaimeen.
WPA3
Wi-Fi Alliance esitteli WPA3: n seuraavan sukupolven korvaajan WPA2: lle vuonna 2018. WPA3 käyttää edelleen AES: ää, mutta korvasi CCMP: n Galois/Counter Mode-protokollalla (GCMP).
AES: n avaimen pituus on kasvanut. WPA3-personal Käyttää edelleen 128-bittistä AES: ää, mutta valinnaisesti voi käyttää 192-bittistä. WPA3-enterpriselle vaaditaan 192-bittisten näppäinten käyttöä.
WPA2 otti käyttöön suojatut Hallintakehykset (PMF), mutta se oli valinnainen. WPA3 tekee siitä vaatimuksen. PMF suojaa:
- Unicastin johdon kehykset salakuuntelua ja väärentämistä vastaan.
- Multicast management frames against taonta.
on myös uusia ominaisuuksia:
- vertaisten samanaikainen todennus (SAE): WPA ja WPA2 käyttävät tunnistautumiseen nelisuuntaista kädenpuristusta, joka on altis offline-hyökkäykselle. Hyökkääjä voi kaapata nelivedon kädenpuristuksen ja tehdä sen jälkeen offline-sanakirjahyökkäyksen tai raa ‘ an voimahyökkäyksen. WPA3: ssa asiakkaat autentikoituvat SAE: n avulla nelisuuntaisen kädenpuristuksen sijaan. SAE kestää offline-hyökkäyksiä.
- Forward Secret: WPA: lla tai WPA2: lla on mahdollista kaapata langaton liikenne ja purkaa se myöhemmin, kun sinulla on valmiiksi jaettu avain. WPA3: lla tämä on mahdotonta. Koska eteenpäin salassapitovelvollisuus, et voi purkaa langatonta liikennettä jälkeenpäin, vaikka sinulla olisi valmiiksi jaettu avain.
- opportunistinen langaton salaus (OWE): tämä korvaa avoimen todennuksen. Avoimella todennuksella salausta ei ole. OWE lisää salauksen. Ideana on käyttää Diffie-Hellman-vaihtoa ja salata langattoman asiakkaan ja AP: n välinen liikenne. Avaimet ovat erilaisia jokaiselle langattomalle asiakkaalle, joten muut asiakkaat eivät voi purkaa tietoliikennettäsi. Tunnistautumista ei edelleenkään ole, joten ei ole suojaa rogue APs.
- Device Provisioning Protocol (DPP): tämä korvaa puutteellisen WPS-ratkaisun. Monissa low-end-laitteissa (kuten IoT-laitteissa) ei ole käyttöliittymää, jonka avulla voit määrittää valmiiksi jaetun avaimen. Sen sijaan, he luottavat tietokoneen tai älypuhelimen tehdä kokoonpano heille. DPP mahdollistaa laitteiden todentamisen QR-koodin tai NFC: n avulla.
Leave a Reply